November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

Expand All Cut TagsCollapse All Cut Tags

Индусы, говорите, криворукие??

dil: (Default)
Tuesday, March 6th, 2018 12:34 pm

Да нифига! Они у нас в компании и тут работают, и в Англии, и никаких проблем не вызывают.
А основные дефекты у меня на работе почему-то провоцируются африканцами. В смысле, вовсе не неграми, а просто живущими в Африке. Там и белых нынче немало.

Вот, например, выдали мне задачу организовать там VPN с одним клиентом. Казалось бы, ничего сложного тут нет. Они прислали форму со всеми параметрами, я всё сконфигурировал, переслал им через тамошнего нашего сотрудника PSK (ключ для шифрования), но этот VPN больше месяца не удавалось включить. Обсуждали это с ними в онлайновом чате, я просил проверить ихние настройки, они просили прислать скриншоты настройки VPNа с нашей стороны, но ничего не помогло. В конце концов выяснилось, что они у себя почему-то установили совершенно другой ключ. И когда его прислали, и я его подправил, и VPN таки заработал.

Или вот сейчас там один сервер стал дико тормозить. Тамошний сотрудник решил, что туда слишком много запросов приходит, и попросил меня заблокировать доступ к тамошнему апачу со всех IP, разрешить только с одного. Ну, я на firewall’е это быстро сделал, а он пожаловался, что после redirect’а с того IP, он не может попасть на веб-сайт. Ну, естественно, доступ же заблокирован.
Оказалось, что он на самом деле хотел разрешить запросы не с самого этого IP, а со ссылками с тамошнего веб-сервера. То есть, referer в запросах проверять надо, а вовсе не IP-адрес клиентского браузера.

А теперь ещё просит меня сконфигурировать на том сервере несколько экземпляров apache. А нафига это там может понадобиться, толком объяснить не может.

Выходит, что термин “афрадминистраторы” не просто так придуман, а имеет реальные основания..

Оригинал этой записи в личном блоге.

Tags:

Загадочные сетевые грабли

dil: (Default)
Tuesday, October 10th, 2017 09:24 pm

Сегодня настраивал маршрутизатор (pfsense) для подсоединения офисной сетки через нового интернет-провайдера. Казалось бы, задачка элементарная, что там может быть сложного..
Но я, как обычно, наступил на загадочные грабли:

1) Настроил DHCP-сервер, для проверки подключил свой ноутбук, посмотрел ifconfig’ом, вроде адрес нормальный выдался, но в интернеты ходить почему-то не получается.

Traceroute вообще никуда не доходит, даже до pfsense’а.
Запустил ip route show, и офигел: default route почему-то не в этот pfsense, а в какой-то совершенно другой IP, которого в этой сетке вообще нету..
А ip address show показал, что на eth0 кроме адреса, выданного pfsense’ом, есть ещё один, из той сетки, где этот непонятный default gateway..

Попробовал повыключать-повключать eth0, ничего не поменялось. Ну, то есть, когда выключал, все адреса и маршруты пропадали, а когда обратно включал – появлялись те же два адреса, и default route в тот же несуществующий gateway.

Посмотрел в /etc/network/interfaces – там ничего нету. Запустил гномовский конфигуратор NetworkManager‘а – там всё настроено чисто по DHCP, никаких дополнительных адресов нету.

Решил поискать, где оно ещё может быть – запустил в /etc grep того загадочного IP, и.. он нашёлся в /etc/NetworkManager/system-connections/Wired connection 1 :
[ipv4]
method=auto
address1=10.12.1.38/24,10.12.1.1

Но в гномовском сетевом конфигураторе ничего подобного почему-то не видно.. А если уж Network Manager взял из этого конфига статический адрес и gateway, так какого ж хрена он на тот же интерфейс прицепил ещё и DHCP’шный адрес??

Короче, удалил нафиг этот address1, всё заработало..

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Это уже не просто блин, а вовсе бл***!

dil: (Default)
Friday, July 28th, 2017 07:26 pm

Сегодня опять настраивал VPNы на том же pfsense, что вчера и позавчера. Сначала один новый приделал. Потом вместо того, чтоб перенастроить тот, который вчера вызвал дурацкую проблему, удалил его нафиг и создал заново. И вроде как всё успешно сработало, ничего не сломалось.

А потом в первом приделанном VPNе отключил DPD (dead peer detection), и после сохранения опять те же грабли — pfsense завис нафиг, а после перезагрузки не смог приделать IP-адреса к сетевым интерфейсам. Пришлось, как и вчера, запустить reset, потом подложить прежний конфиг из backup’ной директории — а фиг, всё равно не работает. Потом попробовал парочку других конфигов, но всё равно не помогло.

В конце концов скопировал все конфиги из backup’а на другую машинку и стал рассматривать, в чём различия. И тут наконец-то обнаружилась причина этих граблей: в нескольких конфигах (а они в XML’ном формате) нашлась идиотская штука, которая, собственно, и разваливала эти xml’и:

        <remoteid>
            <type>address</type>
            <address>10.11.12.13</address>
        </remoteid>
    rithm-option>
        <pfsgroup>0</pfsgroup>

Похоже, это обрезанный кусок <encryption-algorithm-option> , но вот как он туда попал, и как продолжал там иногда оставаться при перезаписывании конфига — это загадка. Явно криворукие похапэшные быдлокодеры виноваты.

Потом подложил более старый конфиг, в котором этой фигни ещё не было, и pfsense наконец заработал. А DPD подредактировал в том конифге руками, сработало.

Ну, короче, как водится, грабли удалось обойти, но на это потратился почти весь рабочий день. А главное — непонятно, как их в будущем избежать. Все изменения в xml руками вписывать не сильно просто. А в командной строке там тот же php используется, так что есть шанс получить те же (или даже ещё более кривые) грабли.

Оригинал этой записи в личном блоге.

Tags:

Задачка для сетевых администраторов..

dil: (Default)
Tuesday, June 6th, 2017 01:54 pm

Условие: у вас есть локальная сеть с кучкой компьютеров, использующих приватные адреса. В сети также есть маршрутизатор с публичным адресом, в который он NAT’ит приватные адреса при выходе в интернеты. На маршрутизаторе через публичный интернет также включены VPNы, через которые к вашей сети подключено несколько других сетей, также использующих у себя внутри приватные адреса. Соединения от всех (ну или, может, только некоторых) компьютеров вашей сети должны обеспечиваться к компьютерам во всех удалённых сетях, и обратно – из всех тех сетей в вашу.

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Везде, везде грабли..

dil: (Default)
Tuesday, June 28th, 2016 02:37 pm

Как всегда, мне и на работе попадаются загадочные проблемы, которые я в конце концов обычно решаю, хотя иногда даже сам толком не понимаю, как..

Из последних случаев:
— Юзер не может залогиниться в свой ноутбук (с 10 виндой). Отдельного администраторского эккаунта там нету, только он сам. Только что, говорит, всё было нормально, а тут отошёл чайку попить, экран заблокировал, а обратно не попасть.. При мне попробовал перенабрать пароль несколько раз, в натуре, не работает. Ну я первым делом проверил CapsLock, не, не оно.

— Почта из скрипта не доходит в список рассылки (в гуглопочте). А очень надо. Отдельным получателям нормально доходит, а в рассылку гугл письма принимает, после чего они куда-то исчезают. Как мне раньше рекомендовали, добавил в адрес отправляющего сервера в гугловый whitelist, никакого эффекта. Попробовал руками послать, та же картина, мне самому пришло, а в рассылку — фиг.

— В одном из датацентров внезапно отвалились все VPN-туннели. Зашёл на тамошний роутер, попробовал перезапустить их руками, фиг. Почитал логи, говорит, phase1 по таймауту отваливается. Зашёл на остальные роутеры, куда он должен присоединяться, стал проверять живость интернетов [tcp]traceroute’ом, так они ни туда, ни обратно не доходят, отваливаются где-то посредине. Но при этом я-то в тот роутер зашёл, сначала по https, потом по ssh, никаких проблем. Попробовал telnet’ом – во все стороны работает. А IPSec никак. А лично сходить посмотреть, что у него может быть не так с сетью, не получится. Он в Южной Африке..

– После перезагрузки proxmox’а в нём померла виртуальная машинка. А она нужная, там firewall для гостевого wifi. Нажимаю кнопочку start, машинка вроде как started, но через пару секунд опять stopped. И заглянуть некуда, консоль так быстро запуститься не успевает. В логах самого proxmox’а никаких подробностей, только длиннющая команда, которой он пытался запустить эту виртуалку, и в конце “failed: exit code 1″. А чё конкретно там failed, поди угадай..

Ну, в общем, я это всё починил, но столько граблей за какие-то полдня — это как-то ненормально.

Оригинал этой записи в личном блоге.

Tags:

Новости вредоносного ПО

dil: (Default)
Tuesday, December 10th, 2013 11:33 am

Специалисты по безопасности как бы намекают:

Оригинал этой записи в личном блоге.

Tags:

А я сошла с ума. Какая досада.

dil: (Default)
Thursday, October 29th, 2009 12:16 am

Задача для продвинутых сисадминов. Остальным вряд ли будет интересно.

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Задачка для сисадминов

dil: (Default)
Monday, December 1st, 2008 01:08 pm
В конторе используется CheckPoint VPN-1. С клиентской стороны - SecureClient в OfficeMode. Под Windows. Хочется полноценный VPN из-под линукса.
ExpandRead more... )
Tags:

Это у меня троян завёлся или просто паранойя?

dil: (Default)
Sunday, January 30th, 2005 07:52 pm
# netstat -npa
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:32768           0.0.0.0:*               LISTEN     -                   
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN     -           
udp        0      0 0.0.0.0:32768           0.0.0.0:*                          -                   
udp        0      0 0.0.0.0:2049            0.0.0.0:*                          -        


# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
VPN-концентратор  192.168.0.1     255.255.255.255 UGH    1500 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
66.150.15.0     0.0.0.0         255.255.255.0   U         0 0          0 tun0
сеть-на-работу  0.0.0.0         255.255.224.0   U         0 0          0 tun0
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0


Upd: первая половина - это паранойя. Так в линуксе, оказывается, выглядит ядрёный nfs.
2049 - это сам nfs, а 32768 - nlockmgr

Но вот откуда взялся лишний маршрут в VPN?
Upd 2: это я его, оказывается, сам вписал в конфигурацию vpn-клиента. Осталось вспомнить, когда и зачем..
Доктор, это лечится?
Tags: